Whistleblowing e Data Protection: la guida del Garante Privacy
Premessa
Le attività ispettive di iniziativa curata dall’Ufficio del Garante Privacy degli ultimi anni[1] hanno avuto ad oggetto, tra l’altro, le principali funzionalità di alcuni applicativi per l’acquisizione e gestione delle segnalazioni di illeciti (whistleblowing) utilizzati dai datori di lavoro pubblici e privati.
Muovendo i passi dall’inquadramento generale dell’istituto, il presente contributo si propone di delineare i presidi che, alla luce dei molteplici interventi emessi dal Garante Privacy, è necessario considerare/implementare per una corretta impostazione e gestione dei sistemi di whistleblowing da parte di enti pubblici e privati.
Whistleblowing
L’istituto del Whistleblowing – di derivazione anglosassone, a livello locale è stato introdotto dapprima in ambito pubblico con la Legge n. 190/2012 e, successivamente, nel settore privato con la Legge n. 179/2017 che peraltro ha integrato la normativa in materia di responsabilità amministrativa degli enti (i.e. D.lgs. n. 231/2001)[2].
Si tratta di uno strumento di compliance aziendale che consente a dipendenti e a terze parti (c.d. whistleblower) di segnalare gli illeciti riscontrati nello svolgimento della propria attività.
Il quadro normativo di riferimento riconosce un regime di garanzie particolarmente stringente nei confronti del segnalante onde prevenire che vengano adottate nei confronti dello stesso misure discriminatorie e/o ritorsive.
Il processo di segnalazioni whistleblowing deve essere progettato e implementato in conformità alla disciplina dettata in materia di protezione dei dati personali.
A questo riguardo, grazie ai provvedimenti, sia di carattere generale che sanzionatorio, adottati dal Garante Privacy negli ultimi anni è possibile ricavare delle utili indicazioni per gli operatori.
La posizione del Garante Privacy
In primo luogo, sotto il profilo della liceità del trattamento, il Garante Privacy[3] ha chiarito che i trattamenti di dati personali connessi alla gestione delle segnalazioni whistleblowing (che possono riguardare dati appartenenti a particolari categorie di dati e/o dati relativi a condanne e reati[4]) rappresentano un adempimento di un obbligo legale a cui è soggetto il titolare del trattamento (ex art. 6, par. 1 lett. c) e art. 9 par. 2 lett. b) e art. 10 del GDPR).
Tenuto conto dei rischi per i diritti e le libertà a cui sono esposti gli interessati nel contesto lavorativo, della particolare delicatezza delle informazioni potenzialmente trattate, del carattere di “vulnerabilità” degli interessati, il Garante Privacy ha in più occasioni richiamato l’importanza degli adempimenti previsti ai sensi degli artt. 13, 14, 30, 35 e 36 del GDPR.
Vediamoli nel dettaglio.
E’ stata innanzitutto sottolineata[5] la necessità di rendere agli interessati una specifica informativa ex art. 13 e 14 GDPR volta a rendere edotti gli stessi relativamente ai caratteri essenziali dei trattamenti di dati personali derivanti dall’acquisizione della segnalazione whistleblowing. E’ stata giudicata insufficiente la presenza di una sezione introduttiva all’interno dell’applicativo per effettuare le segnalazioni in cui veniva specificata la funzione della segnalazione e l’anonimato garantito al segnalante[6].
Inoltre, in un’ottica di accountability è altresì necessario che i titolari del trattamento provvedano, ai sensi dell’art. 30 GDPR, a mappare i trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite all’interno del proprio Registro dei trattamenti.
A ciò si aggiunga che i trattamenti di dati personali relativi all’acquisizione e gestione delle segnalazioni whistleblowing integrano i requisiti previsti ex art. 35 GDPR: tenuto conto della particolare “vulnerabilità” degli interessati coinvolti e degli specifici rischi per i loro diritti e libertà nel contesto lavorativo, si rende necessario per i titolari del trattamento condurre una valutazione d’impatto sulla protezione dei dati personali (i.e. DPIA) e, ove necessario, la consultazione preventiva dell’Autorità ai sensi dell’art. 36 GDPR.
Un ulteriore elemento che è stato oggetto di interesse da parte dell’Autorità riguarda la qualificazione soggettiva dei soggetti che a diverso titolo possono trattare i dati personali nel contesto dell’acquisizione e gestione delle segnalazioni in parola. In particolare, è stato chiarito che i fornitori dei servizi informatici trattano dati personali per conto del titolare e devono essere nominati, ai sensi dell’art. 28 GDPR, in qualità di responsabili del trattamento sia nella misura in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornita in modalità “software as a service”. Non solo, lo stesso art. 28 GDPR specifica ulteriormente che il responsabile non può ricorrere a un altro responsabile “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e, in tal caso, “su tale altro responsabile del trattamento sono imposti […] gli stessi obblighi in materia di protezione dei dati, contenuti nel contratto o in altro atto giuridico tra il tritolare del trattamento e il responsabile del trattamento”. Ne consegue che qualora i fornitori dei predetti servizi informatici affidino la gestione sistemica dell’infrastruttura IT e/o l’attività di manutenzione e di assistenza specialistica sull’applicativo utilizzato per l’acquisizione delle segnalazioni a soggetti terzi, questi ultimi dovranno essere nominati in qualità di sub-responsabili del trattamento[7].
Infine, un ulteriore aspetto particolarmente rilevante nel contesto in parola riguarda l’implementazione delle misure tecniche e organizzative che soddisfino, tra l’altro, i requisiti dell’art. 32 del GDPR sotto il profilo della sicurezza e che garantiscano la tutela dell’identità del segnalante (assicurando la non tracciabilità delle connessioni del segnalante alla procedura informatica per effettuare la segnalazione).
Tale ultimo aspetto è stato oggetto di particolare interesse dell’Autorità che ha avuto modo di riscontrare in più di una occasione la non corretta configurazione dei sistemi per l’acquisizione delle segnalazioni in quanto gli stessi registravano e conservano i dati di navigazione degli utenti all’interno dei log degli apparati firewall, consentendo l’identificazione di chi utilizzava detti sistemi.
Non solo, tra le misure di sicurezza avanzate che sono state indicate dal Garante Privacy vi è anche l’adozione di strumenti di crittografia sia per il trasporto che per la conservazione dei dati del segnalante (sia identità che contenuto della segnalazione).
E’ quindi necessario che, anche in ossequio ai principi di “protezione dei dati fin dalla progettazione” e di “protezione dei dati per impostazione predefinita” di cui all’art. 25 GDPR, vengano adottate misure a tutela degli interessati con riguardo al tracciamento degli accessi agli applicativi per le segnalazioni whistleblowing.
Conclusione
Vista l’assoluta rilevanza del tematiche in parola, ci si aspetta nel prossimo futuro che il Garante Privacy continui a prestare la massima attenzione in questo ambito.
E’ quindi auspicabile che le organizzazioni – sia pubbliche che private – progettino e implementino sistemi per l’acquisizione e gestione delle segnalazioni whistleblowing tenendo in debito conto dei principi e delle prescrizioni dettate in materia di protezione dei dati personali.
[1] Si veda, ad esempio, Garante per la Protezione dei dati personali, Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2019, deliberazione, 12 settembre 2019, doc. web n. 9147297 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9147297) e Garante per la Protezione dei dati personali, Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2020, deliberazione, 1 ottobre 2020, doc. web n. 9468750, (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9468750).
[2] Per completezza, si ricorda che, in materia di whistleblowing è stata introdotta la Direttiva UE n. 1937/2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione che deve essere oggetto di recepimento in Italia.
[3] Si veda, ad esempio, Garante per la Protezione dei dati personali, Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing), parere, 4 dicembre 2019, doc. web 9215763, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9215763.
[4] Si pensi, ad esempio, a dati personali contenuti nella segnalazione e/o negli atti o documenti allegati.
[5] Si veda, Garante per la Protezione dei dati personali, Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia, 7 aprile 2022, doc. web 9768363, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768363.
[6] Si veda, da ultimo, l’ordinanza di ingiunzione resa nei confronti dell’azienda ospedaliera di Perugia – 7 aprile 2022 [9768363].
[7] Si veda, Garante per la Protezione dei dati personali, Ordinanza ingiunzione nei confronti di aiComply S.r.l., 10 giugno 2021, doc. web 9685947, https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9685947.